picasso

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\user\wgsdgsdgdsgsd.exe C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\Users\user\AppData\Roaming\OpenCandy C:\Users\user\AppData\Roaming\f.exe C:\Users\user\QuickStores.url :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" "Start Page Restore"=- :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Local Page = "http://www.iesearch.com/" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Local Page Restore = "http://www.iesearch.com/" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://searchya.com/?chnl=ft-100&s=1&cr=1823226446&cd=2XzutAtN2Y1L1QzutDtDtC0Bzy0EzyyC0FtByCtAyD0FzzyCyBtN0D0TzutBtDtCtBtDtBtCyD&q=" IE - HKLM\..\SearchScopes\{A0B271A9-D8AA-8E74-7392-2164D6A1C03C}: "URL" = "http://www.iesearch.com/s/?q={searchTerms}" IE - HKLM\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q={searchTerms}&crm=1" IE - HKU\S-1-5-21-174478317-2899634280-2739803742-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" IE - HKU\S-1-5-21-174478317-2899634280-2739803742-1000\..\SearchScopes\{A0B271A9-D8AA-8E74-7392-2164D6A1C03C}: "URL" = "http://www.iesearch.com/s/?q={searchTerms}" IE - HKU\S-1-5-21-174478317-2899634280-2739803742-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-174478317-2899634280-2739803742-1000\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q={searchTerms}&crm=1" IE - HKU\S-1-5-21-174478317-2899634280-2739803742-1000\..\SearchScopes\94A2AE90-7B04-4CE9-92A8-E74303397600: "URL" = "http://searchya.com/?chnl=ft-100&s=1&cr=1823226446&cd=2XzutAtN2Y1L1QzutDtDtC0Bzy0EzyyC0FtByCtAyD0FzzyCyBtN0D0TzutBtDtCtBtDtBtCyD&q={searchTerms}" O2 - BHO: (no name) - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - No CLSID value found. O2 - BHO: (no name) - {37B85A21-692B-4205-9CAD-2626E4993404} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found. O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\The Matrix_ Path of Neo Registration.lnk = File not found O8 - Extra context menu item: &Pobierz wszystko przez FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bhoall.htm File not found O8 - Extra context menu item: &Pobrane przez FlashGet - C:\Program Files\FlashGet Network\FlashGet universal\ComDlls\Bholink.htm File not found O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - "http://rover.ebay.com/rover/1/4908-44618-9400-3/4" File not found O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - "http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home" File not found O9 - Extra Button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - "http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?PL" File not found SRV - File not found [Auto | Stopped] -- C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- (Harmonogram automatycznej usługi LiveUpdate) SRV - [2007-04-24 09:58:25 | 001,174,664 | ---- | M] (Symantec Corporation) [On_Demand | Stopped] -- C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe -- (Symantec Core LC) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. 2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Babylon toolbar, Complitly, DAEMON Tools Toolbar, DealPly, McAfee Security Scan Plus, Przyspiesz Komputer, SearchYa Toolbar on IE and Chrome. 3. Firefox mocno zabrudzony adware, ale czyszczenie zupełnie nieopłacane, bo jest tu archaiczny Firefox 3.0.19. Odinstaluj go, a przy deinstalacji zaznacz usuwanie plików użytkownika. Jeśli przed deinstalacją chcesz zachować z niego zakładki + hasła (tylko!), to posłuż się MozBackup. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

To nie jest normalne co się pokazuje na pasku dolnym i to wyjaśnia tak zastraszająco długi skan. Otóż OTL wpadł w pętlę nieskończoną skanowania linków symbolicznych zwrotnie punktujących do siebie samych. Co to są te linki wyjaśnione tu przy okazji skanu McAfee natrafiającego na ten sam schemat: KLIK. I jak mówię, to nie jest normalne, nigdy nie widziałam, by OTL miał ten problem. Wnioski się nasuwają takie: coś się stało u Ciebie i uprawnienia linków symbolicznych zostały naruszone, brak tam "Odmowy dostępu" = OTL nie trafia na naturalną barierę zapobiegającą wchodzeniu w tę szczególną ścieżkę. 1. Upewnij się, że masz włączone wszystkie opcje Widoku: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego 2. Następnie sprawdź czy otworzenie tego obiektu zwraca "Odmowę dostępu": C:\Users\All Users\Dane aplikacji. Domyślnie ma być Odmowa. Dodatkowo sprawdź też inne linki tego typu w systemie, a pierwszy z brzegu to C:\Documents and Settings. Wszędzie ma być Odmowa. Jej brak to usterka w systemie i naprawa tego jest bardziej finezyjna. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Łukasz\wgsdgsdgdsgsd.exe C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\Users\Łukasz\AppData\Roaming\Mozilla\Firefox\Profiles\2rnqb8vw.default\searchplugins\Web Search.xml C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml :OTL IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=983b009c-eb0c-4b13-ac11-eb34c6dd8616&affid=111585&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-501057964-3462613628-4119044250-1001\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDY&co=PL&userid=983b009c-eb0c-4b13-ac11-eb34c6dd8616&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\S-1-5-21-501057964-3462613628-4119044250-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110823&tt=120912_nocpc_3912_1&babsrc=SP_ss&mntrId=264743d8000000000000b482fee60bce" IE - HKU\S-1-5-21-501057964-3462613628-4119044250-1001\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={ACCE54D8-2F02-4C5B-82A4-60FC51BAD104}&mid=61727baefdf845b8aaa5f5b969a09cb4-816a98c45f9efb9b6a52cdd2d5b2c4080a111306&lang=pl&ds=ik011&pr=&d=2012-09-26 14:14:43&v=12.2.5.34&sap=dsp&q={searchTerms}" IE - HKU\S-1-5-21-501057964-3462613628-4119044250-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={ACCE54D8-2F02-4C5B-82A4-60FC51BAD104}&mid=61727baefdf845b8aaa5f5b969a09cb4-816a98c45f9efb9b6a52cdd2d5b2c4080a111306&lang=pl&ds=ik011&pr=&d=2012-09-26 14:14:43&v=12.2.5.34&sap=dsp&q={searchTerms}" O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. :Reg [HKEY_USERS\S-1-5-21-501057964-3462613628-4119044250-1001\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Search Page"=- [HKEY_USERS\S-1-5-21-501057964-3462613628-4119044250-1003\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_USERS\S-1-5-21-501057964-3462613628-4119044250-1001\Software\Microsoft\Internet Explorer\Search] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. 2. Przez Panel sterowania odinstaluj AVG Security Toolbar, jest zbędny. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Skoro uruchomiłeś ComboFix, to należało podać do oceny log który wtedy utworzył. Mówią o tym zasady działu. A te błędy startowe stąd, że ComboFix wcale nie usunął infekcji do końca, ładuje się skrót runctf.lnk. Poza tym, jest więcej obiektów infekcji. ESET i Ad-aware = dubel funkcji. Ad-aware to jest już antywirus a nie tylko "anty-spyware". Przechodząc do usuwania infekcji i innych: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Maciek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\Users\Maciek\AppData\Roaming\DCdJOya.exe C:\Users\Maciek\AppData\Roaming\8A013 C:\Users\Maciek\AppData\Roaming\AVG2012 C:\Windows\SysNative\http___212.51.210.121_8080_han_knovel_www.knovel.com_contentapp_pdf_1712_46373_34.pdf_cid=20775495#xml=http___www.knovel.com_xml_highlight.jsp_pdf=http___www.knovel.com_contentapp_pdf_1712_46373_34.lnk C:\Program Files (x86)\uik.dat C:\Program Files (x86)\is.dat C:\ProgramData\Search Protection C:\ProgramData\blekko toolbars :OTL O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [searchProtection] C:\ProgramData\Search Protection\_run.bat () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 15895 = C:\PROGRA~3\LOCALS~1\Temp\msnsuqkv.pif (The UPX Team "http://upx.sf.net") :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyServer"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, a błąd powinien ustąpić. 2. Przez Panel sterowania odinstaluj jeden z antywirusów, ESET lub Ad-aware, oraz toolbar Ad-Aware Security Add-on. Otwórz Firefox i w Dodatkach odinstaluj adware BitTorrentBar Community Toolbar. W Google Chrome w Rozszerzeniach z kolei usuń AVG Safe Search, BitTorrentBar. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner oraz wtedy przez ComboFix (C:\ComboFix.txt). .

Na temat używania ComboFix: KLIK. Zasady działu wyraźnie też mówią, że skoro uruchomiony, to i należy przedstawić utworzony przez niego log. Po drugie: log z OTL niepełny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). A błąd masz, bo ComboFix wcale nie usunął infekcji do końca. Został skrót w starcie. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Krzysio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\Users\Krzysio\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} C:\Windows\tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon.job C:\Windows\tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d.job C:\Windows\SysWow64\searchplugins C:\Windows\SysWow64\Extensions C:\scu.dat :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- :OTL IE - HKCU\..\SearchScopes\{F8E61B35-8CC8-407C-B75C-C0AF249241A8}: "URL" = "https://isearch.avg.com/search?cid={9690A8A8-0A80-427F-B93E-1C47583EDFAC}&mid=b5703269fe6147d09f566d16b2dc2700-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=gm011&pr=sa&d=2012-07-07 20:34:44&v=11.1.1.7&sap=dsp&q={searchTerms}" IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKCU\..\URLSearchHook: {adca5064-9e30-43fe-9856-58b07a3149fe} - No CLSID value found FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.138.0: C:\Program Files (x86)\Battlelog Web Plugins\1.138.0\npesnlaunch.dll File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\support@Senseless.TV: C:\Users\Krzysio\AppData\Roaming\SenselessTV\ffextension [2012-11-10 00:33:29 | 000,000,000 | ---D | M] FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\support@Senseless.TV: C:\Users\Krzysio\AppData\Roaming\SenselessTV\ffextension [2012-11-10 00:33:29 | 000,000,000 | ---D | M] O2 - BHO: (SenselessTV Video Plugin) - {991D97B8-F0D8-4EA1-9100-7A65EA2D3A63} - C:\Users\Krzysio\AppData\Roaming\SenselessTV\bho.dll () O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O4 - Startup: C:\Users\Krzysio\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2YourFace_Updater.lnk = File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Błąd powinien ustąpić. 2. Przez Panel sterowania odinstaluj adware Claro LTD Toolbar + SenselessTV. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras). Dołącz log utworzony przez AdwCleaner oraz utworzony przez ComboFix (C:\ComboFix.txt) .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Powstańców 45A\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\Users\Powstańców 45A\wgsdgsdgdsgsd.exe C:\ProgramData\dsgsdgdsgdsgw.pad :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Logi z OTL nieprawidłowo zrobione. Po pierwsze opcje "Rejestr" + "Rejestr - skan dodatkowy" ustawione na Wszystko, a ma być "Użyj filtrowania". Po drugie, logi są z poziomu wbudowanego w system konta Administrator a nie konta użytkownika: Computer Name: DOM | User Name: Administrator | Logged in as Administrator. Konta mają inne rejestry i foldery. Logi muszą być zrobione z poziomu konta na którym jest problem. Tu tylko przypadkiem widać pliki infekcji na innym koncie niż zalogowane, ale i tak oglądam inne środowisko główne. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Szeleźniak\Menu Start\Programy\Autostart\ctfmon.lnk C:\Documents and Settings\Szeleźniak\Menu Start\Programy\Autostart\runctf.lnk C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\WINDOWS\System32\odbcbcpw.dll C:\WINDOWS\tasks\PLLNG.job netsh firewall reset /C :OTL O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found O4 - HKU\S-1-5-19..\Run: [4Y3Y0C3A9F7XXA6ECWEM] C:\Recycle.Bin\B6232F3A051.exe /q File not found O4 - HKU\S-1-5-21-1409082233-790525478-682003330-500..\Run: [sudbyzquxqus] C:\Documents and Settings\Administrator\sudbyzquxqus.exe File not found O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\SZELEN~1\USTAWI~1\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, blokada zniknie. Logujesz się na właściwe konto. 2. Zrób nowy log OTL z opcji Skanuj ( przypominam: wszędzie Użyj filtrowania) + Farbar Service Scanner. .

1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\fastprox.dll /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Uruchom ten plik przez dwuklik. Konieczny restart komputera, by odładować z pamięci ZeroAccess. 2. Otwórz Notatnik i wklej w nim: cacls C:\RECYCLER\S-1-5-18 /E /G Wszyscy:F cacls C:\RECYCLER\S-1-5-18\$bb42cb3a269392b77aa5f49dbad922eb /E /G Wszyscy:F cacls C:\RECYCLER\S-1-5-21-299502267-1637723038-839522115-1003\$bb42cb3a269392b77aa5f49dbad922eb /E /G Wszyscy:F rd /s /q C:\RECYCLER pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Uruchom ten plik przez dwuklik. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Patrycja\wgsdgsdgdsgsd.exe C:\Documents and Settings\Patrycja\Dane aplikacji\Mozilla C:\Documents and Settings\Patrycja\Dane aplikacji\YourFileDownloader C:\Documents and Settings\Patrycja\Dane aplikacji\PriceGong C:\WINDOWS\tasks\SDMsgUpdate (TE).job :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=" IE - HKU\S-1-5-21-299502267-1637723038-839522115-1003\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-299502267-1637723038-839522115-1003\..\SearchScopes\{5042D780-0816-8CAF-69AC-06A54D832FE0}: "URL" = "http://bwrk.startya.com/s/?q={searchTerms}&iesrc=IE-SearchBox&site=Yahoo&cfg=2-490-0-0" IE - HKU\S-1-5-21-299502267-1637723038-839522115-1003\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&toolbar=FXT" IE - HKU\S-1-5-21-299502267-1637723038-839522115-1003\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92823269615036929" DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfusb.sys -- (Tosrfusb) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tosrfsnd.sys -- (TosRfSnd) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfnds.sys -- (tosrfnds) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Tosrfhid.sys -- (Tosrfhid) DRV - File not found [Kernel | System | Stopped] -- System32\Drivers\tosrfcom.sys -- (Tosrfcom) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\tosrfbnp.sys -- (tosrfbnp) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfbd.sys -- (tosrfbd) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosporte.sys -- (tosporte) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 4. Przez Dodaj / Usuń programy odinstaluj adware vShare Plugin. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner oraz do skanu w SystemLook wklej: :dir C:\RECYCLER /s Dołącz log utworzony przez AdwCleaner. .

Infekcja nie jest usunięta do końca (są na dysku określone obiekty). Poza tym potrzebne dodatkowe skany, które mają udowodnić, że plik services.exe jest wyleczony, oraz pokazać zakres szkód w usługach: 1. Uruchom SystemLook x64 i w oknie wklej: :filefind services.exe Kllik w Look. 2. Zrób log z Farbar Service Scanner. Wyjaśnia to konfiguracja OTL opisana na forum... Ale drugi raz Extras nie jest w tym przypadku potrzebny. .

System zabrudzony także adware... 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Aftur\wgsdgsdgdsgsd.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Aftur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\Windows\tasks\OptimizerPro1UpdaterTask{C4161032-AA77-4203-AE19-09F38B519C6F}.job C:\Users\Aftur\AppData\Local\promo.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. 2. W systemie działają szczątki Avast. Z poziomu Trybu awaryjnego zastosuj Avast Uninstall Utility. 3. Opuść Tryb awaryjny. Przez Panel sterowania odinstaluj adware Download and Sa, OptimizerPro1, Optimizer Pro v3.0, Search Assistant AppsAreFun 1.66, Search Assistant MocaFlix 1.66. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Daniel\wgsdgsdgdsgsd.exe C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\Users\Daniel\AppData\Roaming\Babylon C:\Program Files\BabylonToolbar C:\ProgramData\Babylon C:\Users\Daniel\AppData\Local\Temp*.html :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4812_4&babsrc=SP_ss&mntrId=e46cca600000000000000c607641e04a" IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={1511C964-29B1-4A0A-B519-B9E7F445D5C7}&mid=e130e64c6dcb47d08174d16d3855a29a-921e0f511149d3376ca024f2d33500de9e81f92c&lang=pl&ds=AVG&pr=pr&d=2012-12-01 14:23:24&v=13.2.0.4&sap=dsp&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" O4 - HKLM..\Run: [Regedit32] C:\Windows\system32\regedit.exe File not found SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\ANSYSI~1\SHARED~1\LICENS~1\Intel\lmgrd.exe -- (ANSYS FLEXlm license manager) DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\system32\Drivers\DgiVecp.sys -- (DgiVecp) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie. 2. Przez Panel sterowania odinstaluj adware Ask Toolbar, MediaBar. Również za dużo antywirusów i odinstaluj ESET, bo stary. 3. Otwórz Google Chrome i wejdź do ustawień. W sekcji "Po uruchomieniu" wymaż z listy stron startowych search.babylon.com + ustaw opcję na "Otwórz stronę nowej karty". 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Sterownik jest w systemie: DRV - [2010-12-25 23:43:14 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\sptd.sys -- (sptd) Być może dlatego nie jest wykrywany, bo system działa w Trybie awaryjnym, a sterownik ma status "Zatrzymany". 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Zbigniew\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\ProgramData\0tbpw.pad :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :OTL O4 - HKU\S-1-5-21-3994369113-774731455-1404452814-1000..\Run: [AASecuUFD] File not found O9 - Extra Button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - "http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?PL" File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie. Opuść Tryb awaryjny. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

- Zmodyfikowane wartości keyword.URL + search.defaultenginename, prawdopodobnie konsekwencja instalacji pdfforge Toolbar. - Skutek instalacji świńskiej wtyczki vShare. - Skutek nieuważnej instalacji PDFCreator (instalacja śmiecia pdfforge Toolbar). Plus powyższych są jeszcze ślady po infekcji "policyjnej" (plik 0tbpw.pad). 1. Przez Panel sterowania odinstaluj adware pdfforge Toolbar v6.5, vShare Plugin. 2. Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Google Chrome: W sekcji "Po uruchomieniu" z listy stron startowych wymaż vshare.toolbarhome.com i ustaw opcję na "Otwórz stronę nowej karty". W zarządzaniu wyszukiwarkami przestaw domyślną z Yahoo! na Google, po tym Yahoo! usuń z listy. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-4120784818-2778522451-3301207192-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-4120784818-2778522451-3301207192-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-4120784818-2778522451-3301207192-1000\..\SearchScopes\{DAA2B5A1-047A-41CD-933B-974AFAC3E836}: "URL" = "http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=827316&p={searchTerms}" FF:64bit: - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.6.2: C:\Windows\system32\npDeployJava1.dll File not found FF - HKLM\Software\MozillaPlugins\@wacom.com/wtPlugin,version=2.0.0.1: C:\Program Files (x86)\TabletPlugins\npWacomTabletPlugin.dll File not found FF - HKCU\Software\MozillaPlugins\wacom.com/WacomTabletPlugin: C:\Program Files (x86)\TabletPlugins\npWacomTabletPlugin.dll File not found O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll () O3:64bit: - HKU\S-1-5-21-4120784818-2778522451-3301207192-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll () O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-4120784818-2778522451-3301207192-1000..\Run: [AdobeBridge] File not found O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found :Files C:\ProgramData\0tbpw.pad C:\Users\Pinky\g2mdlhlpx.exe C:\Users\Pinky\AppData\Roaming\ProgSense C:\Program Files (x86)\DAEMON Tools Toolbar :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log zutworzony przez AdwCleaner. .

Po tym trojanie został już tylko pusty wpis startowy. Doczyszczanie: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-3471967356-3363281774-4238017225-1000..\Run: [{FC806F3C-982D-AD7F-989E-DD0EB11EFE13}] C:\Users\open\AppData\Roaming\Ejilvi\uzlom.exe File not found [2012-12-01 17:48:35 | 000,000,000 | ---D | M] -- C:\Users\open\AppData\Roaming\Ejilvi :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Skoryguj drobną nieścisłość w 64-bitowej domyślnej wyszukiwarce IE. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Jaki był powód pobierania (a być może i używania) ESETSirefefEVCleaner? 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\Users\Asia\wgsdgsdgdsgsd.exe C:\ProgramData\dsgsdgdsgdsgw.pad :OTL CHR - Extension: uTorrentBar = C:\Users\Asia\AppData\Local\Google\Chrome\User Data\Default\Extensions\bejbohlohkkgompgecdcbbglkpjfjgdj\2.3.15.10_0\ IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKU\S-1-5-21-3121193918-1617943661-1372999420-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKU\S-1-5-21-3121193918-1617943661-1372999420-1001\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found O3 - HKU\S-1-5-21-3121193918-1617943661-1372999420-1001\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O16 - DPF: {D28CDB2E-AE6D-11CF-96B8-444553540000} "http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab" (Reg Error: Key error.) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Z forum KLIK: .

Na DPI 125% sprawdziłam także i to: rozciąganie edytora na oficjalnym forum IPB (wersja IPB 3.4.0 z CKEditor bodajże 3.6.4 lub wyżej) oraz w demo CKEditora (najnowszy). Otóż tam ten problem nie występuje w Internet Explorer. Wnioski: to nasza wersja forum IPB 3.2.3 ze zintegrowanym CKEditor 3.6.2 ma jakiś bug. Jesteśmy na starszej wersji, bo jak mówiłam tu już gdzieś nie opłacało się aktualizować (zbyt mało zmian w porównaniu do zbyt dużej roboty z przeładowaniem wszystkiego) i przeskoczyłam całą gałąź 3.3.x licząc na solidniejsze zmiany zwłaszcza w edytorze. Ale za niedługo aktualizujemy. Moderatorzy już o tym wiedzą, bo ostatnio pisałam w Moderatornii, że wydano 3.4.0 i będziemy aktualizować do którejś z poprawkowych wersji 3.4.x. Tyle wieslaw531 musisz przeczekać do sprawdzenia co jest grane na najnowszej wersji IPB z nowszym CKEditorem. Ja nie ruszę z aktualizacją w tym momencie, bo to pierwsza wersja główna 3.4.x i niezbyt sprytne od razu się na nią rzucać + na trackerze jest kilka niepokojących mnie bugów. Czekam do pierwszego maintenance release i ocenię co dalej.

To jest bubel polskiego tłumaczenia, brakuje tam fragmentu tekstu. Uruchom stronę w języku angielskim: http://support.microsoft.com/kb/310353/en-us Wtedy zobaczysz przycisk pobierania owego "przewodnika". .

wieslaw531 Sprawdziłam DPI 125% + Internet Explorer 9 i dzieje się u mnie to samo, tzn. przy ciągnięciu w dół zaczyna się zaznaczać dolny tekst pod edytorem. Pomimo tego uchwycenie narożnika i pociągnięcie w dół rozszerza edytor, tylko nie można puścić przy pierwszym zaznaczeniu tekstu lecz uparcie ciągnąć w dół: Z tym nic nie dam rady zrobić, to skutek podwyższonego DPI, po zmianie na domyślne 100% zanika ten efekt. Dodatkowo, DPI 125% ma niejednakowe skutki w różnych przeglądarkach: - W Internet Explorer 9 menu edytora jest powiększone + omawiany efekt przy ciągnięciu. - W Firefox 17.0.1 i Opera 12.11 wszystko działa. Tu jest pewna różnica, mimo DPI 125% edytor jako taki nie jest "skalowany", menu wygląda jakby było na DPI 100%. - Google Chrome 23.0.1271.95 ogólnie świruje. Na DPI 125% oraz DPI 100% uchwycenie narożnika i pociągnięcie powoduje pojawienie się pomarańczowej obwódki wokół edytora i zaznaczenie całego pola / innych elementów menu (choć pole się rozciąga). To jest bug CKEditor w kombinacji z silnikiem Webkit i nie ma na teraz żadnego fiksa: KLIK. To odpada jako metoda testu / porównawcza, jest zupełnie niewiarygodne. Tryb zgodności jest dla stron niekompatybilnych z IE9. Nasza strona jest zgodna z tą przeglądarką i włączenie trybu zgodności ma nieprzewidywalne skutki i sypie jeszcze większą ilością błędów. Tryb ten musi być wyłączony dla naszej strony. Bonifacy Tego nigdy nie widziałam na oczy i nie wiem dlaczego edytor w losowy sposób otwiera się z większym polem tekstowym.

SFC nie wykryło żadnych błędów. Pytanie: czy ten system ma zainstalowane sterowniki Intel Matrix Storage Manager / Intel Rapid Storage Technology? Jeśli tak, to może należy je zaktualizować. Dla porównania: KLIK.

Mówisz o tym: KLIK? Skopiuj na Pulpit cały folder C:\Windows\Logs\CBS, zapakuj do ZIP, shostuj gdzieś i podaj tu link. .

Jeśli rzecz o logach, podaj tylko ten utworzony przez AdwCleaner i zrób nowy skan OTL, bym zweryfikowała czy wszystko się wykonało zgodnie z planem.

Skoro to świeżak, to czy między instalacją systemu a wystąpieniem błędów instalacji SP2 były instalowane jakieś drobniejsze łatki? Może na początek zrób podstawowy reset komponentów Windows Update: KLIK (narzędzie MicrosoftFixit50202.msi). Za pomocą specjalnej komendy przefiltruj CBS.LOG do wystąpień znaczników [sR] i podaj wynikowy log: KLIK. .

Miałam na myśli: pobierz ze strony producenta pasujące sterowniki, odinstaluj obecne w systemie, zainstaluj te pobrane. Z czym konkretnie masz problem w tym cyklu? Powiedziałam wyraźnie: Po ukończeniu wszystkich operacji robisz nowy log OTL. Nie zajmuj się tym. .